內(nèi)網(wǎng)管理DeskMaster產(chǎn)品介紹

1、目錄第一章 產(chǎn)品背景一、 內(nèi)網(wǎng)安全面臨的主要問題隨著網(wǎng)絡的普及，網(wǎng)絡應用的多元化發(fā)展，網(wǎng)絡安全問題越來越多的得到了人們的重視。而提到網(wǎng)絡安全，人們自然就會想到防火墻、殺毒軟件等。但實際情況是網(wǎng)絡威脅不僅僅來源于網(wǎng)絡外部，有相當一部分網(wǎng)絡威脅來自于網(wǎng)絡內(nèi)部。常規(guī)的安全防御主要集中在網(wǎng)絡邊界，均屬于被動防御，進行防御的設備主要是網(wǎng)絡防火墻、安全網(wǎng)關等硬件設備，這些硬件設備多數(shù)都放置在機房，用來對網(wǎng)絡入口進行防控。網(wǎng)絡內(nèi)部安全問題的暴露也讓人們對內(nèi)網(wǎng)安全有了新的認識，從計算機口令泄露、硬件資產(chǎn)流失、重要文件泄密、網(wǎng)絡資源擁堵等現(xiàn)象出現(xiàn)，讓人們對內(nèi)網(wǎng)安全管理有了新的需求。政府機關和企事業(yè)單位的內(nèi)部網(wǎng)絡

2、在管理上面臨著以下一些常見的問題：1) 如何對內(nèi)網(wǎng)中的計算機補丁進行管理并自動分發(fā)補丁2) 如何對內(nèi)網(wǎng)中移動存儲介質(zhì)進行有效的管理3) 如何對內(nèi)網(wǎng)中計算機接入網(wǎng)絡進行管理4) 如何對內(nèi)網(wǎng)中計算機非法聯(lián)網(wǎng)進行管理5) 如何解決移動存儲介質(zhì)引起的病毒傳播、信息泄露等問題6) 如何對內(nèi)網(wǎng)中計算機進行統(tǒng)一的安全策略配置7) 如何對內(nèi)網(wǎng)中計算機進行有效管理，保證設備運行情況正常8) 如何快捷便利的對內(nèi)網(wǎng)中計算機進行遠程點對點維護，提供遠程協(xié)助9) 如何對內(nèi)網(wǎng)中涉密信息進行保護10) 如何對內(nèi)網(wǎng)中計算機上所安裝的軟件進行統(tǒng)一監(jiān)控、管理11) 如何對內(nèi)網(wǎng)中計算機外設接口的使用進行有效的管理12) 如何對計算

3、機用戶的行為進行有效的監(jiān)控、管理這些內(nèi)網(wǎng)計算機使用上的安全隱患，時刻威脅著內(nèi)網(wǎng)網(wǎng)絡的正常運行，內(nèi)網(wǎng)涉密信息外泄也越來越嚴重。面對如上問題，DeskMaster內(nèi)網(wǎng)終端安全綜合管理系統(tǒng)提供了全面的解決方案。第二章 產(chǎn)品概述一、 產(chǎn)品簡介DeskMaster內(nèi)網(wǎng)安全綜合管理系統(tǒng)是遵照國家信息安全與保密領域相關法規(guī)，集網(wǎng)管、監(jiān)控、安全、加密等關鍵技術而構(gòu)建的內(nèi)網(wǎng)安全管控平臺。通過對IT資產(chǎn)的動態(tài)監(jiān)管、用戶行為及信息內(nèi)容的綜合審計、多策略立體化的網(wǎng)絡安全防護、統(tǒng)一的漏洞檢測與補丁加載，從根本上提升企事業(yè)單位內(nèi)部網(wǎng)絡的安全管理水平。二、 產(chǎn)品系列我們從客戶的內(nèi)網(wǎng)安全需求點出發(fā)，結(jié)合國內(nèi)外終端安全管理技術

4、和發(fā)展趨勢，對內(nèi)網(wǎng)安全進行了深入的研究。將政府機關和企事業(yè)單位內(nèi)部網(wǎng)絡終端安全從資產(chǎn)和資源、調(diào)控和服務、安全和保密、審計和控制等方面做了全方面的保護，在DeskMaster內(nèi)網(wǎng)安全綜合管理系統(tǒng)中包含以下幾個產(chǎn)品系列：解決了客戶在網(wǎng)絡管理中可能會遇到的問題。三、 功能特點DeskMaster內(nèi)網(wǎng)安全綜合管理系統(tǒng)通過對終端計算機的進程、模塊、插件、驅(qū)動、軟件、URL訪問等信息進行采集，由管理員對采集的信息進行分類和安全級別鑒定并形成一套對上述信息運維和管理的庫，我們稱之為“知識庫”。通過知識庫的建立和管理，達到對用戶管理的統(tǒng)一化、標準化、策略化。本系統(tǒng)針對客戶端程序進行了特別優(yōu)化，CPU和內(nèi)存等資

5、源的占用低，達到了國家對內(nèi)網(wǎng)安全軟件的相關要求，在管理員對客戶端進行審計和管理的過程中，這些操作都不會對客戶端產(chǎn)生特別大的性能上的影響。除上述特點之外，本套系統(tǒng)還支持異構(gòu)復雜的網(wǎng)絡環(huán)境，對不同類別、不同廠家、不同制式標準的IT設備均有很好的支持。對終端設備上不同的操作系統(tǒng)和網(wǎng)絡應用也均可統(tǒng)一管理。與目前主流防火墻、殺毒軟件均有良好的兼容性。系統(tǒng)選用集成式框架結(jié)構(gòu)和模塊化設計理念也為后期的升級改造和系統(tǒng)維護提供了支持。第三章 產(chǎn)品架構(gòu)一、 產(chǎn)品部署本系統(tǒng)采用C/S和B/S混合模式架構(gòu)，支持分布式部署，配置了中心服務器之后，客戶端只要通過瀏覽器訪問中心服務器即可完成系統(tǒng)部署。通過文件分發(fā)系統(tǒng)（第三

6、方提供）更可方便的實現(xiàn)靜默注冊。二、 產(chǎn)品模塊本系統(tǒng)對各個功能采用模塊化方式設計，支持模塊化軟件定制，在保持了較高通用性的前提下，又實現(xiàn)了產(chǎn)品配置的多樣化。模塊化的設計降低了功能之間的耦合性，各個模塊之間支持無縫功能擴展，又通過統(tǒng)一的策略管理平臺，對各個模塊進行管理，方便管理者操作。在滿足用戶需求的同時，又最大限度的對用戶日后升級做了充足的準備。下圖為統(tǒng)一策略管理平臺界面圖：三、 產(chǎn)品管理架構(gòu)本系統(tǒng)支持局域網(wǎng)架構(gòu)和廣域網(wǎng)架構(gòu)兩種架構(gòu)模式。局域網(wǎng)架構(gòu)模式下，使用一套本系統(tǒng)即可滿足管理上的需求。例如對于一個C類地址或者多個C類地址的局域網(wǎng)來說，通過配置一套系統(tǒng)即可實現(xiàn)集中式的管理模式。廣域網(wǎng)架構(gòu)模

7、式應用于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)。例如基于國家、省市、區(qū)縣的網(wǎng)絡結(jié)構(gòu)。本系統(tǒng)提供了多級級聯(lián)模式的管理架構(gòu)，用來滿足上級對非本地局域網(wǎng)內(nèi)的下級的管理。使用廣域網(wǎng)架構(gòu)模式需部署多級系統(tǒng)，在廣域網(wǎng)架構(gòu)模式下，上級可直接對下級終端進行管理，同時下級會將本級的統(tǒng)計和報警信息轉(zhuǎn)發(fā)給上級管理系統(tǒng)，從而上級管理人員能對下級的網(wǎng)絡狀況完全掌握。四、 分權管理通過對管理用戶權限的分立，使得管理用戶在管理上進行了本質(zhì)性的區(qū)分，實現(xiàn)了用戶管理權限、策略權限、審計權限的分離，達到了用戶權限“最小化”的目的，盡最大可能減小企業(yè)在管理中要承擔的風險。通過對上述三權的分立，也使管理員的任務得到了分解，減少了管理員的

8、任務量。第四章 解決方案介紹一、 接入管理系統(tǒng)(一) 內(nèi)網(wǎng)終端接入管理的必要性網(wǎng)絡接入控制管理系統(tǒng)可以對政府機關和企事業(yè)單位內(nèi)網(wǎng)中的可管理的以及不可管理的終端進行保護。強制提升內(nèi)網(wǎng)安全，保證了內(nèi)網(wǎng)的保護機制不被破壞。通過內(nèi)網(wǎng)接入管理系統(tǒng)實現(xiàn)了企業(yè)對內(nèi)部人員隨意接入內(nèi)網(wǎng)的行為的控制，該方案可以方便快捷的部署至全網(wǎng)。對于網(wǎng)絡硬件設備沒有終端接入控制功能的單位來說，可以采用軟接入控制的方式實現(xiàn)對內(nèi)網(wǎng)隨意接入的管理，而不需再投入大量的財力物力對原有的設備進行更換。對于網(wǎng)絡硬件設備本身就支持接入控制功能的單位來說，結(jié)合本接入管理系統(tǒng)，對原有的接入進行方便的管控，大大提高工作效率，亦可實現(xiàn)高強度的接入認證

9、體系。(二) 系統(tǒng)功能概述接入管理系統(tǒng)實現(xiàn)了對要接入內(nèi)網(wǎng)計算機（筆記本和臺式機）的管理和控制，通過內(nèi)網(wǎng)接入認證系統(tǒng)達到了對非正式和非合法用戶的限制。從第一步就對內(nèi)網(wǎng)中的計算機進行徹底保護，只有通過內(nèi)網(wǎng)接入認證系統(tǒng)的認證之后，才能作為合法用戶和內(nèi)網(wǎng)中的設備進行相應的通訊。首先，通過配置可以對非本單位的計算機進行網(wǎng)絡訪問的限制，即便單位中的非法用戶接入了內(nèi)網(wǎng)，如果限制了計算機的網(wǎng)絡訪問權限的話，那么非法用戶所具有的潛在危害也將被限制。同時可以通過支持認證的網(wǎng)絡硬件設備，從物理硬件上對網(wǎng)絡訪問接口進行訪問限制。在內(nèi)網(wǎng)接入的配置界面可以選擇性的啟動內(nèi)網(wǎng)用戶身份驗證口令，這樣就可以做到對內(nèi)網(wǎng)計算機的確認

10、，保證每一臺內(nèi)網(wǎng)用戶都是通過管理者進行登記造冊的。(三) 系統(tǒng)功能描述1) 輔助系統(tǒng)接入認證2) 未注冊終端接入內(nèi)網(wǎng)控制3) 非法外聯(lián)等接入方式監(jiān)控4) 可根據(jù)自定義終端策略對終端進行接入限制軟接入控制流程圖認證接入控制流程圖二、 非法外聯(lián)監(jiān)控系統(tǒng)(一) 終端非法外聯(lián)造成的危害隨著網(wǎng)絡的發(fā)展，各個單位（尤其是涉密單位）都會建立屬于自己的內(nèi)部網(wǎng)，內(nèi)部網(wǎng)通過分級管理實現(xiàn)了對重要信息訪問的防護。而隨著無線網(wǎng)絡設備的快速發(fā)展，3G網(wǎng)、無線網(wǎng)等各種“聯(lián)網(wǎng)設備”的出現(xiàn)，以及人為的因素等，對內(nèi)部網(wǎng)分級體系造成了嚴重的影響。往往一臺內(nèi)部專網(wǎng)電腦通過一塊3G網(wǎng)卡就能對內(nèi)部信息泄露產(chǎn)生巨大的破壞，這些非法外聯(lián)的行

11、為是防不勝防。(二) 系統(tǒng)功能概述非法外聯(lián)監(jiān)控系統(tǒng)實現(xiàn)了對終端設備是否聯(lián)網(wǎng)行為的監(jiān)控，對內(nèi)部非法越級訪問的行為進行監(jiān)控，對于存在多網(wǎng)卡的設備網(wǎng)絡訪問進行控制。在非法外聯(lián)監(jiān)控系統(tǒng)中，可以將網(wǎng)絡從管理上劃分為允許訪問的網(wǎng)絡和違規(guī)訪問的“外網(wǎng)”，而這里的“外網(wǎng)”需要制訂一個標準，可以是傳統(tǒng)意義上的互聯(lián)網(wǎng)，也可以是密級不同的內(nèi)部網(wǎng)，如果終端設備能夠和上述標準中定義的網(wǎng)絡聯(lián)通的話，系統(tǒng)會自動對該非法外聯(lián)的能力進行阻斷，以防止非法外聯(lián)行為的發(fā)生，做到防患于未然。對于確實需要移動辦公的內(nèi)網(wǎng)涉密設備來說，本系統(tǒng)支持在第一時間發(fā)現(xiàn)其違規(guī)聯(lián)網(wǎng)的行為，并將該違規(guī)行為告知給管理員，也可以直接斷開設備網(wǎng)絡或關閉計算機。

12、對于內(nèi)網(wǎng)中合法的擁有多個IP地址的設備而言，防止其進行非法外聯(lián)行為也及其必要，本系統(tǒng)可實現(xiàn)對多網(wǎng)卡設備進行監(jiān)控，可以對終端使用IP的范圍進行限制，當設備使用了非法IP的時候，會對非法IP產(chǎn)生的網(wǎng)絡行為（http、ftp、email等等）進行審計，并可以禁用非法IP地址的使用，達到僅允許使用合法IP地址進行通訊的功能。除此之外，本系統(tǒng)可以檢測到使用代理上網(wǎng)的行為，當發(fā)現(xiàn)終端使用代理上網(wǎng)的時候會自動將代理取消，并可以根據(jù)需要斷開網(wǎng)絡或者關閉終端計算機。(三) 系統(tǒng)功能描述1) 禁止非法連接外網(wǎng)2) 禁止同時連接內(nèi)網(wǎng)和外網(wǎng)3) 禁止終端使用代理上網(wǎng)4) 對終端使用IP地址進行限制5) 對終端非法使用

13、的IP地址進行行為審計和控制6) 能對不同級別內(nèi)網(wǎng)之間通訊進行監(jiān)控7) 可以限定內(nèi)網(wǎng)終端IP使用范圍，可以對非法IP審計和禁止(四) 非法外聯(lián)監(jiān)控系統(tǒng)的特點1) 判斷非法外聯(lián)無須等到外聯(lián)行為發(fā)生，本系統(tǒng)判斷其外聯(lián)能力，做到防患于未然2) 對于需要外出辦公的涉密設備可以在第一時間監(jiān)控到其非法外聯(lián)行為3) 能夠指定多種形式的違規(guī)處罰：無提示、警告、斷網(wǎng)、關機4) 所有管理制度支持離線狀態(tài)，可以按照時間段來執(zhí)行管理三、 內(nèi)網(wǎng)安全管理系統(tǒng)(一) 當前內(nèi)網(wǎng)安全管理所面臨的問題隨著計算機在日常工作中的廣泛應用，在越來越多的單位、企業(yè)等機構(gòu)中所暴露出來的問題也越來越多。在用戶的日常工作中對計算機的使用上出現(xiàn)

14、了以下幾個方面的問題需要解決：1) 對計算機運行的程序進行審查和控制2) 確保計算機的系統(tǒng)安全：對惡意程序的運行進行管理和控制3) 對計算機外設等產(chǎn)品的管理和控制4) 對管理員用戶提供一種高效的管理和協(xié)助一般用戶的方法5) 保證內(nèi)網(wǎng)中計算機的管理流暢，對相關網(wǎng)絡設置進行控制6) 對網(wǎng)絡攻擊進行防護7) 提倡計算機高安全度的設置8) 對內(nèi)網(wǎng)用戶的共享文件進行管理(二) 系統(tǒng)功能概述內(nèi)網(wǎng)安全管理系統(tǒng)提供了完整的一套解決方案，從桌面管理和安全防護等領域?qū)W(wǎng)內(nèi)的計算機進行安全管理。通過對終端桌面進行管理使得終端計算機從內(nèi)部規(guī)范了計算機的使用安全，提高計算機的安全防護等級，又杜絕了來自于外部的非法攻擊等

15、。通過定義知識庫，讓系統(tǒng)管理員在管理和配置管理策略的時候變的異常簡單。通過對內(nèi)網(wǎng)中計算機上所運行的進程、服務、模塊、插件、軟件等信息的采集，IT管理者可以建立屬于本企業(yè)的系統(tǒng)知識庫，可對知識庫進行級別劃分，從而建立起一套適合本單位具體情況的配置策略。通過安全控制等配置，可以對終端系統(tǒng)中運行的進程、服務、模塊、插件等進行詳細鑒別，即便是同樣的進程，如果感染了病毒、木馬等也可以進行區(qū)分，別對受到感染的文件進行限制。(三) 系統(tǒng)功能描述1) 進程運行控制2) 系統(tǒng)服務控制3) 外設端口控制4) 系統(tǒng)文件分發(fā)管理（文件分發(fā)、軟件部署）5) 終端點對點控制6) 遠程協(xié)助：實現(xiàn)終端監(jiān)控和終端協(xié)助7) 網(wǎng)絡

16、接口管理：IP、Mac、Dns綁定、網(wǎng)卡綁定8) 異常進程、模塊、驅(qū)動、插件監(jiān)控9) 網(wǎng)絡防火墻：訪問網(wǎng)絡控制和Arp攻擊防護10) 系統(tǒng)帳戶安全控制(四) 內(nèi)網(wǎng)安全管理系統(tǒng)的特點1) 管理員通過建立屬于本單位的系統(tǒng)知識庫對終端設備進行管理。知識庫變更靈活，由中心服務器進行統(tǒng)一分發(fā)，不需要管理者一一對終端機器進行部署，節(jié)約管理者的時間2) 管理策略可靈活定制，從基本策略、時間和分配對象三個維度對內(nèi)網(wǎng)用戶進行管理。可以滿足單位中對不同級別用戶進行不同管理的需求，做到定制化管理3) 對單位內(nèi)部惡意的對設備的盜取行為等進行監(jiān)控4) 終端設備的實時監(jiān)控，終端設備遠程操控，實時對終端用戶提供技術幫助5)

17、 與DeskMaster系統(tǒng)其它平臺進行無縫整合，輕松實現(xiàn)資產(chǎn)管理、補丁管理、主機行為審計等功能。四、 主機行為審計系統(tǒng)(一) 產(chǎn)品背景隨著計算機技術的發(fā)展，它所展現(xiàn)出來的重要性也越來越多的在政府機關和企事業(yè)單位中得到體現(xiàn)。隨之而來的問題是，如何能夠有效的掌握內(nèi)部人員工作期間在計算機上進行的操作、如何確定這些操作不違反內(nèi)部規(guī)定。除此之外，不能對內(nèi)部人員使用計算機造成影響也成為了IT管理者必須要解決的問題之一。主機行為審計系統(tǒng)就是因此而生的一套專門的針對用戶使用計算機的行為進行審計和控制的系統(tǒng)。它解決了作為管理者無法有效對內(nèi)部人員網(wǎng)絡行為進行監(jiān)管的問題。該系統(tǒng)設計依據(jù)了國家當前出臺的相關法律法規(guī)

18、，即保證了用戶的隱私，也實現(xiàn)了對用戶主機行為監(jiān)管的目的。(二) 系統(tǒng)功能概述主機行為審計系統(tǒng)提供了完整的一套解決方案對內(nèi)網(wǎng)中的計算機用戶進行全方位的行為審計和管控，讓管理員能在第一時間采集到所需要的信息，并對內(nèi)網(wǎng)計算機用戶的違規(guī)行為進行控制和管理。規(guī)范了以下幾方面的行為：URL審計和控制、Email審計和控制、IM即時通訊審計、用戶打印審計和控制、本地文件操作審計等方面。通過對內(nèi)網(wǎng)中用戶所訪問的URL進行記錄，生成本單位的URL知識庫資源，管理者對URL庫中的URL地址進行分級與分類，并以模板的形式分發(fā)給終端用戶，結(jié)合靈活的配置選項，對內(nèi)網(wǎng)中的URL資源進行管理。對郵件收取進行詳盡的配置，非信

19、任郵箱不允許使用。(三) 系統(tǒng)功能描述1) 對上網(wǎng)訪問URL行為審計和控制：可配置自定義的URL黑白名單2) 對訪問FTP行為審計和控制：可自定義審計和控制的文件類型3) 用戶收取Email行為審計和控制：可自定義郵箱4) 打印文件行為審計和控制：可自定義文件后綴名進行審計和控制5) 訪問共享文件審計6) 使用及時通訊工具審計(四) 主機行為審計系統(tǒng)的特點1) 用戶行為審計策略化2) 用戶行為控制定制化3) 管理靈活化：管理者可以對不同的人進行不同的行為管理4) 用戶行為日志及時上報，客戶端報警五、 移動存儲介質(zhì)管理系統(tǒng)(一) 使用移動存儲介質(zhì)所引發(fā)的問題移動存儲介質(zhì)，特別是U盤，因其攜帶方便

20、，存儲量大、價錢便宜等優(yōu)點，作為數(shù)據(jù)交換的主要手段之一，已得到廣泛的應用。但是隨著移動存儲介質(zhì)的廣泛使用，也暴露出來了很多的問題，例如，單位內(nèi)部機密信息的泄露，可能由移動存儲介質(zhì)使用不當造成的。因此急需一套有效的移動存儲介質(zhì)管理系統(tǒng)來解決下述存在的問題：1) 涉密網(wǎng)（需要保密的網(wǎng)絡）中的計算機使用普通移動存儲介質(zhì)2) 安全移動存儲介質(zhì)在普通計算機上使用3) 移動存儲介質(zhì)文件交換審計：包括普通和安全移動存儲介質(zhì)4) 對非本單位移動存儲介質(zhì)的控制5) 移動存儲介質(zhì)丟失后導致信息泄露6) 移動介質(zhì)的使用信息無法追蹤審計的問題7) 移動存儲介質(zhì)接入?yún)^(qū)域限制和控制問題8) 移動存儲介質(zhì)中攜帶病毒、木馬等

21、，并通過其傳播，造成數(shù)據(jù)丟失的問題(二) 系統(tǒng)功能概述移動存儲介質(zhì)管理提供給用戶一套完整的對移動存儲介質(zhì)的管理方案，用來解決由于移動存儲介質(zhì)的濫用和丟失以及移動存儲介質(zhì)攜帶病毒、木馬所造成的機構(gòu)內(nèi)部數(shù)據(jù)泄露的問題。管理系統(tǒng)從移動存儲介質(zhì)的接入抓起，會自動對要接入的移動介質(zhì)進行區(qū)分，可對不屬于其內(nèi)部的移動存儲介質(zhì)進行讀寫控制，而對屬于該企業(yè)的移動介質(zhì)進行相應的管理。除此之外詳細的日志上報機制，可以保證移動介質(zhì)的所有使用記錄得到及時的上報，方便管理員的使用。通過移動存儲介質(zhì)管理系統(tǒng)，可以將最普通的移動存儲介質(zhì)轉(zhuǎn)變給成可自動加密的安全移動存儲介質(zhì)，且強認證、多手段的管理方式，即可以保證移動存儲介質(zhì)轉(zhuǎn)

22、移信息的安全，又可以讓企事業(yè)在安全移動存儲介質(zhì)費用上省下不少開支。(三) 系統(tǒng)功能描述1) 按照設備、IP范圍、組織結(jié)構(gòu)等方式對移動存儲介質(zhì)進行接入管理2) 移動存儲介質(zhì)數(shù)據(jù)讀寫控制3) 移動存儲介質(zhì)標簽認證管理4) 移動存儲介質(zhì)分區(qū)管理5) 文件存儲透明加密，防止信息外泄6) 移動存儲介質(zhì)使用變更管理7) 移動存儲介質(zhì)數(shù)據(jù)讀寫審計：文件的創(chuàng)建、復制、刪除、修改和重命名等操作8) 移動存儲介質(zhì)使用審計：對移動介質(zhì)的掛載、注銷進行記錄9) 數(shù)據(jù)交換中間機，嚴格對內(nèi)網(wǎng)中數(shù)據(jù)交換進行管理（內(nèi)網(wǎng)信息交換須經(jīng)過中間機進行，可對中間機進行嚴格的審計策略）10) 針對外來普通移動介質(zhì)進行管理，對外來普通介質(zhì)

23、的使用進行控制(四) 移動存儲介質(zhì)管理系統(tǒng)的特點1) 靈活性的配置，便捷的安全移動存儲制作流程2) 可進行“機盤綁定”，實現(xiàn)單位內(nèi)部“專盤專機專用”3) 透明加密技術防止意外情況導致的數(shù)據(jù)泄密4) 對移動存儲介質(zhì)的訪問進行嚴格控制，防止病毒對移動存儲介質(zhì)的危害5) 完善的日志上報機制，不論移動存儲介質(zhì)在單位內(nèi)網(wǎng)使用，還是在單位外部使用，都可以將對移動存儲介質(zhì)的操作記錄進行記錄(五) 移動介質(zhì)管理流程移動介質(zhì)管理的流程，如下圖所示：(六) 安全移動介質(zhì)的種類安全移動介質(zhì)按照標簽進行制作。標簽分為三個等級，可滿足不同安全等級要求。可分別制作不同部門的不同等級的標簽，按照策略對標簽進行管理。(七)

24、中間機的好處通過在內(nèi)網(wǎng)中設置中間機，可以將所有的外部信息的來源都限制在中間機上，這樣一來就保證了流入流出的數(shù)據(jù)的安全性和保密性要求。中間機機器會在內(nèi)網(wǎng)和外網(wǎng)信息的交換中起到很大的作用。六、 補丁管理系統(tǒng)(一) 系統(tǒng)補丁升級會遇到的問題在電腦技術高速發(fā)展的今天，病毒和木馬頻繁爆發(fā)，操作系統(tǒng)的安全問題時刻困擾著每一位電腦終端用戶，安裝補丁已經(jīng)成為計算機用戶的“家常便飯”。而對于各個單位、公司、政府等機構(gòu)的管理員而言，在補丁安裝的時候普遍都會遇到以下幾個問題：1) 計算機是否能夠統(tǒng)一及時的安裝系統(tǒng)補丁，特別針對普通電腦用戶和電腦知識水平不太高的用戶的計算機如何能夠及時正確的安裝上系統(tǒng)補丁2) 如何確

25、認計算機所應該安裝的補丁3) 安裝補丁后系統(tǒng)或應用程序不兼容而導致系統(tǒng)癱瘓4) 網(wǎng)絡維護人員對計算機安裝補丁，此工作量大時長且容易出錯5) 網(wǎng)絡物理隔離的用戶必須通過其它方式將補丁從外網(wǎng)拷入，增加了信息泄露和病毒傳入的可能，且在安裝的時候要根據(jù)不同系統(tǒng)核對相應補丁版本6) 計算機通過都通過外網(wǎng)下載補丁造成網(wǎng)絡資源消耗過大(二) 系統(tǒng)功能概述補丁管理系統(tǒng)提供了Windows全系列的安全補丁，特別針對于沒有外網(wǎng)環(huán)境的企事業(yè)單位做了升級優(yōu)化。減少了終端用戶使用Windows自帶的Update功能占用帶寬的問題，同時對Windows補丁進行過濾，對不利于企業(yè)使用的補丁進行剔除。除此之外，提供了對終端補

26、丁安裝情況的補丁統(tǒng)計和安全分析，以圖表的形式直接展現(xiàn)了當前內(nèi)網(wǎng)中終端補丁的安全情況，方便管理員對終端進行維護，做到及時發(fā)現(xiàn)問題及時解決問題。(三) 系統(tǒng)功能描述1) 通過互聯(lián)網(wǎng)自動獲取最新補丁2) 補丁庫增量更新，補丁文件增量導入3) 終端計算機所需補丁自動探測和自動安裝4) 指定特殊補丁進行專門探測和安裝：針對于特殊的補丁，可以配置區(qū)別于其它補丁的執(zhí)行策略5) 靈活的對象分配方式：可按照計算機分配、IP范圍分配、組織結(jié)構(gòu)分配等。6) 計算機補丁安裝情況匯總統(tǒng)計7) 動態(tài)評估全網(wǎng)終端安全指數(shù)：通過對整體終端補丁安裝情況的統(tǒng)計，確定當前內(nèi)網(wǎng)終端的安全級別補丁管理系統(tǒng)設計理念補丁探測邏輯實現(xiàn)流程圖

27、(四) 補丁管理系統(tǒng)的特點1) 支持基于策略和目標的補丁分發(fā)：可以將補丁只發(fā)給指定的用戶群2) 補丁可用性測試減少了對系統(tǒng)中應用程序的影響。一些不穩(wěn)定的補丁程序會在大范圍安裝前進行測試，好做到及時屏蔽3) 自動智能檢測、下載和安裝補丁4) 提供補丁導入功能，給沒有外網(wǎng)環(huán)境的企事業(yè)單位提供可靠的系統(tǒng)升級方式5) 提供了終端補丁更新狀態(tài)的詳細報表，并對內(nèi)網(wǎng)中的計算機的補丁安裝情況進行詳細統(tǒng)計和分析七、 資產(chǎn)管理系統(tǒng)(一) 產(chǎn)品背景目前政府機關、教育、軍隊、公安、保密部門、科研機構(gòu)、金融及證券和企事業(yè)等單位中的網(wǎng)絡已有了一定的規(guī)模，網(wǎng)絡中存在著大量的計算機，如何進行終端設備的資產(chǎn)管理，是管理者首先面臨的問題。管理者希望準確了解所有終端設備的硬件配置以及軟件信息，及時掌握資產(chǎn)的變化。當管理者需要統(tǒng)一升級和部署操作系統(tǒng)或應用系統(tǒng)時，希望能夠提供資產(chǎn)狀況報告，為升級和部署費用提供科學的依據(jù)，